Dipl.-Volksw. Fritz Schmidt
Den Verantwortlichen treffen bereits bei der Erhebung personenbezogener Daten Informationspflichten gegenüber der betroffenen Person. Der Umfang der Informationspflichten ist davon abhängig, ob die personenbezogenen Daten direkt bei der betroffenen Person (Direkterhebung, Art. 13 DSGVO) oder bei einem Dritten (Dritterhebung, Art. 14 DSGVO) erhoben werden und ob die Verarbeitung der personenbezogenen Daten auf dem berechtigten Interesse des Verantwortlichen beruht.
Die DSGVO unterscheidet zwischen Informationen, die der betroffenen Person mitzuteilen (Art. 13 Abs. 1 DSGVO), und solchen, die zur Verfügung zu stellen sind. Welche Konsequenzen sich aus der "Mitteilung" bzw. der "Zurverfügungstellung" ergeben, ist weder aus den Erwägungsgründen der DSGVO noch aus den bisher veröffentlichten Verlautbarungen der Aufsichtsbehörden zu entnehmen. "Mitteilung" könnte in dem Sinne verstanden werden, dass diese Informationen den Betroffenen immer übermittelt werden müssen, während "Zurverfügungstellung" bedeuten könnte, dass diese Informationen nur auf ausdrückliches Verlangen des Betroffenen bereitgestellt werden müssen. Sinnvoll erscheint, diese Unterscheidung nicht zu treffen, sondern bei der Datenerhebung alle geforderten Informationen sofort zur Verfügung zu stellen.
Keine Informationspflichten bestehen, wenn die personenbezogenen Daten ohne Zutun des Verantwortlichen übermittelt werden, z. B. bei der Initiativbewerbung eines Arbeitsuchenden.
Die zentrale Bereitstellung der Informationen auf der Website des Unternehmens erscheint sinnvoll, weil dann der Pflegeaufwand bei Änderungen minimiert ist (z. B. bei Wechseln in der Geschäftsführung oder in der Person des Datenschutzbeauftragten). Wichtig ist aber, dass bereits bei der Erhebung der Daten in klarer und verständlicher Form darauf hingewiesen wird, wo die Informationen auf der Website zu finden sind.
In der nachfolgenden Abbildung ist der Prozess zur Erfüllung der Informationspflichten dargestellt:
Prozess zur Erfüllung der Informationspflichten nach Art. 13 DSGVO
4.1 Direkterhebung
Bei der Direkterhebung sind folgende Informationen mitzuteilen:
- der Name bzw. die Firma und die Kontaktdaten des Verantwortlichen,
- die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- das berechtigte Interesse, falls die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten beruht (Art. 6 Abs. 1 lit. f DSGVO),
- ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln.
Dem Betroffenen sind folgende Informationen zur Verfügung zu stellen:
- die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer,
- die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit),
- das Recht zum jederzeitigen Widerruf einer Einwilligung und die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt,
- das Beschwerderecht bei einer Aufsichtsbehörde,
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung hätte,
- im Falle einer automatisierten Entscheidungsfindung (einschließlich Profiling) aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung.
Nach Erwägungsgrund 62 der DSGVO erübrigt sich die Pflicht, Informationen zur Verfügung zu stellen, wenn
- die betroffene Person die Information bereits hat,
- die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder
- wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist.
4.2 Dritterhebung
Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, bestehen grundsätzlich die gleichen Informationspflichten wie bei der Direkterhebung. Da die betroffene Person aber nicht an der Datenerhebung mitgewirkt hat und somit auch keine Kenntnis davon hat, welche personenbezogenen Daten erhoben wurden, ist der Verantwortliche nach Art. 14 Abs. 1 lit. d DSGVO verpflichtet, die Kategorien der verarbeiteten personenbezogenen Daten mitzuteilen. Bei der Dritterhebung sind zeitliche Fristen zu beachten, in denen der Betroffene zu informieren ist.
Die Inanspruchnahme von Auskunfteien bei der Neuvermietung ist eine Dritterhebung. Weitere Dritterhebungen dürften bei Wohnungsunternehmen ein absoluter Ausnahmefall sein.
4.3 Informationspflicht bei Verarbeitungen aufgrund von berechtigtem Interesse
Erfolgt die Verarbeitung aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), ist die betroff...